Die Uhr für die DSGVO tickt unerbittlich weiter. In gut 3 Wochen ist es dann soweit: alle Unternehmen, Vereine, Organisationen müssen auf die neue Datenschutzverordnung umgestellt sein, wollen sie nicht von den drakonischen Strafen betroffen sein.
Spannend ist für mich derzeit zu beobachten, aus welchen Richtungen plötzlich Anfragen zur Einwilligung der Speicherung meiner Daten auf mich zukommen. Die entsprechenden Kontaktaufnahmen via eMail und Telefon haben alleine in den letzten beiden Wochen drastisch zugenommen. Selbst beim Tierarzt mussten wir eine entsprechende Erklärung unterschreiben und auch der Sportverein ist mittendrin in den Anpassungen. Hier wird diskutiert, ob Whats-App Gruppen zur Vorbereitung von Turnieren oder für Fahrgemeinschaften statthaft sind oder nicht? Schulen und Kindergärten müssen sich ebenfalls die Einwilligung der Eltern für die Speicherung der Daten ihrer Kinder einholen.
Vielen ist dann doch erst in den letzten Monaten klar geworden, dass sie von der DSGVO betroffen sind. Auch kleinere Unternehmen mit nur wenigen Mitarbeitern müssen die Anforderungen der DSGVO umsetzen. Kann denn die Umstellung in der kurzen Zeit noch gelingen?
Hier ein paar Hilfen:
Das sog. Verarbeitungsverzeichnis kann für kleinere Unternehmen / Organisationen recht knapp ausfallen. Eine sehr gute und praktikable Vorlage findet sich auf der Seite des digitalen Unternehmensmagazins impulse. Das Verfahrensverzeichnis muss im Wesentlichen folgende Fragen beantworten:
- Wer ist für die Daten verantwortlich?
- Zu welchem Zweck werden die Daten erhoben?
- Wer ist von der Datenerhebung betroffen?
- Wer hat Zugriff auf die Daten?
- Welcher Kategorie gehören die Daten an?
- Erfolgt eine Übermittlung der Daten an Drittstaaten?
- Wann werden die Daten gelöscht?
- Auf welcher Rechtsgrundlage sind die Daten erhoben worden?
- Wie wurde die Einwilligung des Betroffenen eingeholt?
Ob eine Organisation einen (externen) Datenschutzbeauftragten bestellen muss hängt von der Größe des Unternehmens sowie der Art der Datenverarbeitung ab. Die entsprechenden Anforderungen findet man in §37 DSGVO. Die DSGVO nennt explizit nur wenige Gründe, in welchen Fällen ein Datenschutzbeauftragter auf jeden Fall bestellt werden muss, in der Hauptsache ist es die “regelmäßige, automatisierte Verarbeitung”. Für viele kleinere Unternehmen wird eine Bestellung nicht notwendig sein, wenn sich bspw. weniger als 10 Personen ständig mit der Verarbeitung von personenbezogenen Daten beschäftigen (s. §38 BDSG-neu ). Da allerdings schon die Speicherung der eMail-Adresse eines Kunden in die Kategorie “Verarbeitung personenbezogener Daten” fällt, ist hier Vorsicht geboten sobald das Unternehmen 10 und mehr Mitarbeiter beschäftigt.
Eingeschränkt wird dieser “Freischein” zudem von der sog. Datenschutz-Folgeabschätzung. In Art. 35 der DSGVO ist festgelegt, dass Verantwortliche, die mit besonders sensiblen Daten (z.B. Gesundheits- und biometrische Daten, ethnische Herkunft, politische Ausrichtung) arbeiten, eine Datenschutz-Folgeabschätzung durchführen müssen. Diese dient dazu, eine umfassende Risikobewertung von Datenverarbeitungsvorgängen zu ermöglichen. Betroffen sind hiervon im Prinzip alle medizinischen Berufe wie Ärzte – selbst Tierärzte – , Heilpraktiker, Osteopathen, Physiotherapeuten, sowie bspw. auch politische Parteien und Gruppierungen, Versicherungen oder Versicherungsmakler, etc..
Ein weiterer wichtiger Punkt ist die Erstellung eines Prozesshandbuchs. Überall, wo personenbezogene Daten im Unternehmen / in der Organisation verarbeitet werden, sind die entsprechenden Prozesse zu dokumentieren und ggf. an die neuen Anforderungen anzupassen. Einer dieser anzupassenden Prozesse könnte der Versand des eigenen Newsletters sein. Vom sog. “Single-Opt-in” sollte möglichst zum “Double-Opt-in” gewechselt werden. Soll heißen: nachdem der Interessent seinen Name und seine eMail-Adresse eingegeben hat, erhält er eine eMail mit einem Bestätigungslink, der angeklickt werden muss. Erst dann wird der Interessent in der Verteilerliste berücksichtigt. Viele Newsletter-Programme enthalten diese Möglichkeit bereits und der Prozess kann mit wenigen Einstellungsänderungen entsprechend konfiguriert werden. Dabei ist auch zu berücksichtigen, wie mit der Anforderung nach Löschung von Daten umgegangen wird, welche Auskunfts- und Widerspruchsrechte eingeräumt werden, wie dem Informationsrecht des Kunden Folge geleistet wird, welche Daten ggf. weitergeleitet werden dürfen, etc. Dies betrifft bspw. auch die Weiterleitung von Mitarbeiterdaten an Steuerberater oder die externe Buchführung.
Eine Verpflichtung aller Mitarbeiter auf das Datengeheimnis sowie regelmäßige Datenschutzschulungen sind daher wichtige Maßnahmen zur Sicherung des Datenschutzes im Unternehmen als auch erste Maßnahmen zur Sensibilisierung der Mitarbeiter im Umgang mit personenbezogenen Daten. Auch der Prozess bei einem eventuellen Datenklau ist unbedingt festzuhalten! Denn kommen Daten abhanden, müssen Organisationen innerhalb von 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
Getreu’ dem Motto “Wer schreibt, der bleibt” kann im Rahmen der DSGVO also nur dazu geraten werden, alle Anstrengungen zu dokumentieren, auch wenn die Organisation noch so klein ist.
Wir wünschen allen viel Erfolg!
Ein Beitrag von Anke Hey, 3GRC GmbH.